Lhaplus 自己解凍書庫における任意の DLL 読み込みの脆弱性

2017/05/03 公開
 

概要

Lhaplus の 1.73 以前で作成した自己解凍書庫において、
DLL 検索パスの問題により、意図しない DLL を読み込んでしまう脆弱性が存在します。
 

対応方法

この問題に対処した Lhaplus Version 1.74 以降へのバージョンアップをお願いいたします。
また 1.73 以前で作成した自己解凍書庫は、使用しないようにしてください。
[ Lhaplus Version 1.74 インストーラのダウンロード ]

 

関連情報

JVN#61424279, JVN#76795694
Japan Vulnerability Notes
https://jvn.jp/

JPCERT Coordination Center
http://www.jpcert.or.jp/

IPA 情報処理推進機構
http://www.ipa.go.jp/

 

謝辞

脆弱性発見者の
橘総合研究所 / 英利 雅美 様
合同会社セキュリティ・プロフェッショナルズ・ネットワーク / 吉田 英二 様
ご協力いただいた IPA 、JPCERT/CC の方々に、深く感謝申し上げます。